中国インターネット安全法 ~2017年6月1日施行、法文には何が書かれている?~
2017年6月1日、中国で「中国インターネット安全法」(中国名:中華人民共和国網絡安全法)が施行されました。この法律は、インターネット上で入手された個人情報の保護について定めると同時に、インターネット詐欺への罰則や、情報基地施設に対する外部からのサイバー攻撃に対する処罰が明確化されたものです。
トレンドExpress編集部では各国メディアの報道及び法律原文を参照し、現在わかっていることをまとめました。
実はこの法律は、昨年11月の法案成立時から、一部の外資企業がその脅威を懸念していたものでした。法案が通過した際、ニューヨークタイムズの記者により、例えば金融や通信に関わる企業が「安全検査」を受け「中国国内にデータを蓄積」することを強制される可能性を指摘する声があることを伝えていました。中国国内でのデータの保管については法律の第37条に定められていますが、記事ではこれが中国企業に利益がもたらされるものであると報じられています。
また法律施行後の日経新聞の報道によれば、サイバーセキュリティー全体にかかわる法体系の根幹となる基本法となるこの法律の施行を受け、一部の外資企業がシステムやデータ解析を外資系企業から中国資本のアリババグループに移す動きが見られているそうです。具体的にどのようなシステム、データ解析であるかは記事の中では触れられていませんが、今後メディアの取材により明らかになっていくかもしれません。
「中国インターネット安全法」では具体的に何が定められているのか?
法律では、ウェブ上のサービス利用時に、利用者が提供する個人情報について、サービスの提供者がユーザーから取得の同意を得て収集することを定めています(第22条)。そして同時に、インターネット事業者は公安機関、国家安全機関に対し、技術的なサポートを含む協力を与えるよう定められています(第28条)
上述のニューヨークタイムズの記者は、この法案の成立により、政府はウェブ上の各種サービスを利用した個人の情報を把握できるようになるようになると伝えており、これは中国政府が長年目指してきたものだと伝えています。
法律には実際に身分証のないユーザーに対してウェブサービスの提供を禁じる条文もあります(第24条)。また「インターネット事業者は国家の安全のための技術供与や協力をすること」を定めています(第28条)。「ウェブ上の各種サービスを利用した個人の情報」も記事のなかでは具体的に解説されていませんが、たとえばECサイトの購入履歴、SNSでの発言も含まれる、と考えることもできるかもしれません。
こういった「安全検査」と「中国国内でのデータの蓄積」を求められるのは、インターネットサービスを利用する关键信息基础设施的运营者(重要情報基礎施設の運営者)(第35~37条)ですが、この「重要情報基礎施設の運営者」がどの範囲を指し示すのかは国務院の判断によるとされています(第31条)。
また「中国で保管すべきデータ」については、中国国内で収集、生成した個人情報と重要情報とされています。ニューヨークタイムズではこれを「中国で入手した重要な商業データと消費者の購買データ」と伝えていますが、商業データについては具体的に何を指すかは伝えていません。このデータの国外への持ち出し、転送に関しては所定の部門による審査を通過する必要があると定められています(第37条)
中国では「インターネット上のセキュリティレベルを上げる」ための法律として報道される
6月初頭、編集部が中国での報道やネット上の個人の発言を確認したところ、この法律の施行により中国企業が有利になる、あるいは「外資の」インターネット上のシステムやデータ解析に対する規制が生じるという点について言及するものはあまり多くなく、ましてや購買行動といったデータが個人情報と紐づけられ政府に提供される可能性があるという言及はほとんどありませんでした。
中国のメディアでは個人情報の保護、インターネット上のセキュリティ確保、インターネットを利用した詐欺を取り締まるための法律という点に主眼がおかれ、結論として中国のインターネットセキュリティレベルが高まるという点が伝えられています。
外資企業のコスト増加と政府によるさらなる統制の可能性も?
中国インターネット安全法は、中国以外のメディアによれば、外資企業にとってはコストの増加が予想されるものであり、またニューヨークタイムズが11月に報じたような「政府がネット上の個人の動きを掌握する」ことが本法律の狙いであるとするならば、ユーザーにとっては各種ウェブサービス、SNSやECでの行動が政府に掌握される可能性が高まる法律であるといえそうです。
ただし、中国メディアの報道が正確であるならば「中国インターネット安全法」は中国のインターネット上のセキュリティのレベルを上げるための法律です。法律でも「インターネット上の安全のためにのみ、入手した情報を運用する」(第30条)としていることから、「インターネット上の安全」の解釈がキーポイントとなりそうです。
また「個人が特定できない形での個人情報の第三者への提供は構わない」(第42条)とも定められているため、SNSビッグデータの流通は現状と同じく行われるとも考えられます。
6月5日現在、インターネット上で確認できる情報からは、中国インターネット安全法の真の狙いはどちらとも断じることが難しいと言えそうです。外資企業は法律の運用に注視し、「上有政策,下有对策」(上に政策あれば下に対策あり:政府の規制に対して策を講じ、うまくやっていくことを意味する中国のことわざ)の中国精神を見習って、折々に有効な対策を打ち出すことで、中国市場での生き残りが可能となるのではないでしょうか。まずは、自社が重要情報基礎施設の運営者に該当するのかどうかの判断が対策の一歩目となりそうです。
参考:
中国のインターネット安全法、日本企業の9割が「知らない」(出典:日本経済新聞)
法案全文(出典:中国人大網) 中国語
中国ビッグデータ統制 持ち出し禁止の新法施行(出典:日本経済新聞)
インターネット安全法正式に施行 5点の注目点(出典:新華ネット) 中国語
中国で「インターネット安全法」施行、外国企業は影響を懸念(出典:ロイター)
